Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch kỹ thuật xã hội tinh vi nhắm vào các doanh nghiệp sử dụng Salesforce , trong đó kẻ tấn công mạo danh nhân viên hỗ trợ IT để có được quyền truy cập trái phép vào dữ liệu khách hàng nhạy cảm. Các cuộc tấn công đã thành công xâm phạm ít nhất 20 tổ chức trên khắp Hoa Kỳ và châu Âu, làm nổi bật mối đe dọa dai dẳng của các cuộc tấn công mạng lấy con người làm trung tâm trong môi trường doanh nghiệp.
Thống Kê Tấn Công và Tác Động
Chỉ Số | Chi Tiết |
---|---|
Các Công Ty Bị Tấn Công | Ít nhất 20 tổ chức |
Phạm Vi Địa Lý | United States và Europe |
Nền Tảng Mục Tiêu Chính | Hệ thống CRM Salesforce |
Mục Tiêu Thứ Cấp | Microsoft 365 , Okta |
Phương Thức Tấn Công | Lừa đảo qua điện thoại (vishing) |
Thời Gian Tống Tiền | Yêu cầu được đưa ra nhiều tháng sau khi xâm nhập ban đầu |
Phương Thức Tấn Công Lừa Đảo Qua Điện Thoại
Các tội phạm mạng đứng sau chiến dịch này sử dụng một cách tiếp cận đơn giản nhưng hiệu quả được gọi là vishing, hay lừa đảo qua điện thoại. Kẻ tấn công liên hệ trực tiếp với nhân viên qua điện thoại, giả mạo là nhân viên hỗ trợ IT hợp pháp từ tổ chức của họ. Trong những cuộc gọi này, các nhân viên không nghi ngờ được hướng dẫn truy cập các trang thiết lập Salesforce giả mạo, nơi họ được chỉ dẫn tải xuống thứ có vẻ như là ứng dụng Salesforce Data Loader chính thức.
Phiên bản độc hại của công cụ này, mặc dù trông giống hệt phần mềm chính thức, nhưng cấp cho kẻ tấn công quyền truy cập trực tiếp vào cơ sở dữ liệu Salesforce của tổ chức. Một khi được cài đặt và kết nối, tội phạm có thể ngay lập tức truy vấn, truy cập và xuất khẩu lượng lớn hồ sơ khách hàng nhạy cảm và dữ liệu kinh doanh. Trong các tình huống khác, kẻ tấn công đơn giản yêu cầu thông tin đăng nhập và mã xác thực đa yếu tố trực tiếp từ nhân viên trong cuộc gọi điện thoại.
![]() |
---|
Bàn phím laptop được chiếu sáng tượng trưng cho các nền tảng kỹ thuật số mà kẻ tấn công khai thác trong các cuộc tấn công lừa đảo qua điện thoại |
Nhận Dạng và Kết Nối Mạng Lưới Tội Phạm
Nhóm Threat Intelligence của Google đã xác định nhóm chính đứng sau những cuộc tấn công này là UNC6040 , chuyên về các kỹ thuật kỹ thuật xã hội dựa trên giọng nói. Tuy nhiên, hoạt động này dường như liên quan đến nhiều thực thể tội phạm làm việc phối hợp với nhau. Các yêu cầu tống tiền thực tế thường không xuất hiện cho đến nhiều tháng sau vụ trộm dữ liệu ban đầu, cho thấy một nhóm thứ hai xử lý giai đoạn kiếm tiền của hoạt động.
Những kẻ tấn công này đã chứng minh các kết nối với một hệ sinh thái tội phạm mạng rộng lớn hơn được gọi là The Com , một mạng lưới hacker liên kết lỏng lẻo chủ yếu có trụ sở tại Hoa Kỳ, Vương quốc Anh và Tây Âu. Các thành viên của tập thể này, bao gồm nhóm Scattered Spider khét tiếng, trước đây đã được liên kết với các cuộc tấn công cấp cao liên quan đến việc mạo danh nhân viên IT và các hoạt động SIM-swapping nhắm vào trộm cắp tiền điện tử.
Các Nhóm Tội Phạm và Phân Tích Nguồn Gốc
Tên Nhóm | Vai Trò | Đặc Điểm |
---|---|---|
UNC6040 | Kẻ tấn công chính | Chuyên về kỹ thuật xã hội lừa đảo qua điện thoại |
The Com | Mạng lưới rộng lớn hơn | Các hacker liên kết lỏng lẻo từ Mỹ, Anh, Tây Âu |
Scattered Spider | Nhóm liên quan | Được biết đến với các cuộc tấn công mạo danh nhân viên IT |
ShinyHunters | Đối tác được cho là | Được cáo buộc hỗ trợ tống tiền nạn nhân |
Cơ Sở Hạ Tầng Kỹ Thuật và Phương Thức Truy Cập
Kẻ tấn công sử dụng các biện pháp bảo mật hoạt động tinh vi để che giấu hoạt động của họ. Họ sử dụng địa chỉ IP VPN Mullvad để truy cập các môi trường Salesforce bị xâm phạm, khiến việc nhận dạng và theo dõi trở nên khó khăn hơn đối với các nhóm bảo mật. Một khi quyền truy cập ban đầu được thiết lập, tội phạm thể hiện khả năng di chuyển ngang cao cấp, mở rộng tầm với của họ sang các nền tảng dựa trên đám mây khác bao gồm hệ thống Microsoft 365 và Okta .
Phương pháp của nhóm này vượt ra ngoài việc trộm cắp thông tin đăng nhập đơn giản. Họ có hệ thống thu thập thông tin xác thực thông qua nhiều kênh và sử dụng những thông tin đăng nhập này để thiết lập quyền truy cập liên tục trên các dịch vụ đám mây khác nhau trong cơ sở hạ tầng của tổ chức mục tiêu.
Tác Động Ngành và Bối Cảnh Vi Phạm Gần Đây
Chiến dịch này xuất hiện trong bối cảnh các cuộc tấn công mạng leo thang nhắm vào các nhà bán lẻ và tập đoàn lớn. Những tháng gần đây đã chứng kiến các sự cố bảo mật đáng kể ảnh hưởng đến các thương hiệu nổi tiếng bao gồm Marks & Spencer Group , phải đối mặt với tác động 300 triệu bảng Anh đến lợi nhuận hoạt động từ cuộc tấn công ransomware tháng Tư. Các tổ chức bị ảnh hưởng khác bao gồm Co-op Group , Adidas AG , Victoria's Secret & Co. , Cartier và North Face , mặc dù nghiên cứu của Google không liên kết chắc chắn những sự cố này với chiến dịch tập trung vào Salesforce .
Tác động của các cuộc tấn công mạng doanh nghiệp gần đây
Công ty | Tác động | Thời gian |
---|---|---|
Marks & Spencer Group | Lợi nhuận hoạt động giảm 300 triệu GBP | Tháng 4 năm 2024 |
Co-op Group | Công bố bị tấn công mạng | Ngay sau sự cố của M&S |
Adidas AG | Sự cố an ninh mạng | Những tuần gần đây |
Victoria's Secret & Co. | Vi phạm bảo mật | Những tuần gần đây |
Cartier | Sự cố an ninh mạng | Những tuần gần đây |
North Face | Vi phạm bảo mật | Những tuần gần đây |
Bảo Mật Nền Tảng và Phản Hồi Từ Nhà Cung Cấp
Cả Google và Salesforce đều nhấn mạnh rằng những cuộc tấn công này khai thác các lỗ hổng con người chứ không phải lỗi kỹ thuật trong chính các nền tảng. Đại diện Salesforce xác nhận rằng không có lỗ hổng cố hữu nào trong dịch vụ của họ góp phần vào những vi phạm này. Công ty trước đây đã cảnh báo khách hàng về các chiến thuật kỹ thuật xã hội tương tự trong một bài đăng blog tháng Ba, cung cấp hướng dẫn bảo vệ chống lại những cuộc tấn công như vậy.
Các sự cố này làm nổi bật thách thức dai dẳng của kỹ thuật xã hội trong an ninh mạng, nơi ngay cả những nhân viên được đào tạo tốt cũng có thể trở thành nạn nhân của những nỗ lực mạo danh thuyết phục. Mặc dù có các chương trình đào tạo nhận thức bảo mật rộng rãi, kẻ tấn công vẫn tiếp tục tìm thấy thành công thông qua thao túng trực tiếp con người thay vì khai thác kỹ thuật.